TripCraft 隐私政策

TripCraft（以下简称”我们”）是一款离线优先的 AI 旅行行程规划工具。我们只收集生成与保存行程所必需的最少数据，不做广告、不做跨 App 追踪。

1. 我们收集的数据

• 账号信息（邮箱地址）：通过 Sign in with Apple 或 Google 登录时获得，用于创建并识别你的账号。登录令牌由 Apple / Google 直接签发，不经过我们的服务器。
• 用户标识（User ID）：Supabase 鉴权用户 ID，用于按用户隔离（RLS）你的行程与偏好。
• 行程内容：你输入的目的地、日期、兴趣、预算、同行人，以及 AI 生成的行程、收藏与 POI 备注。存储在你账号下的 Supabase 实例，按 owner_id 行级安全（RLS）隔离。
• 粗略位置（可选）：仅在你点击”路线”或”附近 POI”时使用。精确坐标只留在设备本地，仅把城市级目的地字符串（如”东京”）作为行程提示词的一部分发送给 AI 网关。可在系统设置中随时关闭定位权限。
• 匿名使用统计：去标识化的事件计数（如 trip_generated、offline_pack_downloaded、paywall_view）用于产品分析，不含可识别个人身份的内容。
• 匿名崩溃诊断：通过 Sentry 上报崩溃信息，上传前已剔除个人身份信息（PII）。

我们不收集麦克风、相机、照片、通讯录或健康数据；不使用 IDFA、不接入广告网络、不做跨 App 关联追踪。

2. 数据如何使用

收集的数据仅用于：生成与保存你的行程、按用户隔离你的数据、处理订阅、改进产品稳定性与体验。我们不会出售你的个人数据给任何第三方。

3. AI 内容与数据处理

行程由我们自部署的 LLM 网关（newapi.zweiteng.tk）上的模型生成。你输入的目的地、日期、兴趣、预算与离线问答会发送至该网关处理；第三方模型提供商（如 OpenAI / Anthropic 直连）不会收到你的原始提示词。

AI 生成的行程仅供参考，可能存在不准确之处（POI 营业时间、价格、是否歇业等）。请于行前二次核实关键预订（机票 / 酒店 / 餐厅）。

4. 第三方服务

服务	用途
Supabase	鉴权 + 数据存储（按用户 RLS 隔离）+ 删除账号级联清除的 Edge Function
RevenueCat	订阅管理（StoreKit2 / Play Billing 封装）
Mapbox	地图瓦片（离线包下载 + 在线兜底）；我们已设置 MGLMapboxMetricsEnabled=false 关闭其遥测
newapi.zweiteng.tk	自部署 LLM 网关，所有 AI 提示词在此处理，不外发第三方模型提供商
Sentry	匿名崩溃诊断（已剔除 PII）

5. 数据存储与安全

数据存储于安全云服务，采用行业标准的加密传输（TLS）。行程与偏好通过 Supabase 行级安全（RLS）按 owner_id 隔离，确保你只能访问自己的数据。

6. 数据保留与删除

• 行程与偏好：保留至你主动删除；删除账号后有 7 天软删除恢复窗口，之后级联永久清除。
• 匿名分析事件：仅做聚合，原始事件 90 天后清除。
• 崩溃数据：按 Sentry 默认保留期（约 90 天）。

你可随时在 设置 → 删除账号 一键发起级联删除（满足 GDPR 与 Apple 5.1.1(v) 要求）。

7. 你的控制权

• 退出登录（设置）
• 删除账号（设置 → 删除账号；级联删除 + 7 天恢复窗口）
• 取消订阅（App Store / Google Play 账号设置）
• 开关定位权限（系统设置 → TripCraft）

8. 儿童隐私

TripCraft 不面向 13 岁以下儿童，我们不会故意收集其个人信息。

9. 隐私政策变更

我们可能不时更新本政策。重大变更会在应用内通知你。继续使用即表示你同意更新后的政策。

10. 联系我们

隐私相关问题请联系：support@sanva.tk